我想构建一个非常安全的 UNIX 服务器。我已经实施的机制:
- SNORT + fwsnort 用于禁止
- psad 阻止网络扫描尝试
- Portknocking 启动+打开 SSH(基于密钥的登录 - 无需密码)
- 每小时从安全订阅更新 IP 表规则
- 失败禁止
- ClamAV、Rootkithunter 和 Logwatch
您会添加哪些独立于服务的安全机制?您使用哪种机制?服务器将运行 Apache 和 Postfix。对于 Apache,服务器信息当然会隐藏。而对于 Postfix,我想不出任何办法。谢谢
答案1
哇,你真的把除了厨房水槽之外的所有东西都扔到那台机器上。请不要误会,但从你的问题来看,你可能经验不足。如果我错了,我很抱歉。
我的观点是,你比您在机器上安装的大量安全软件更重要。具体来说,您的知识水平、经验和对细节的关注对于安全设置的成功至关重要。
如果您没有维护这些应用程序的经验或能力,您就有可能陷入一种虚假的安全感。
话虽如此,你确实已经涵盖了很多基础知识。我唯一没有看到的是基于主机的入侵检测。例如助手或 Tripwire
答案2
我会添加备份。
您确实在网络安全方面倾尽了全力。仅使用其中的一部分工具可能就足够了。
禁用所有不需要的网络服务。如果您有仅在服务器上访问的网络服务,请让它们仅在环回接口上侦听。
答案3
在服务器上实现所有这些的缺点是:
每个应用程序都会增加潜在的漏洞。如果您不擅长保护应用程序,您的服务器可能会变得更不安全!
如果您知道如何配置和调整 snort,那么请保留它,否则它会给您一种虚假的安全感。
端口敲击 - 除非您对隐形服务有特定要求,否则几乎毫无意义。您最好使用带有基于证书的身份验证的普通 SSHD。
查看这个问题在安全堆栈交换中获取一些想法。